SAP auditnapló monitorozási szabályainak konfigurálása
Az SAP auditnaplója naplózza az SAP-rendszerek naplózási és biztonsági műveleteit, például a sikertelen bejelentkezési kísérleteket vagy más gyanús műveleteket. Ez a cikk azt ismerteti, hogyan figyelheti az SAP-naplót a Microsoft Sentinel beépített elemzési szabályaival.
Ezekkel a szabályokkal figyelheti az összes auditnapló-eseményt, vagy csak akkor kaphat riasztásokat, ha rendellenességeket észlel. Így hatékonyabban kezelheti SAP-naplóit, így a biztonsági érték sérülése nélkül csökkentheti a zajt.
Két elemzési szabályt használ az SAP auditnapló-adatainak monitorozásához és elemzéséhez:
- SAP – Dinamikus determinisztikus auditnapló-figyelő (ELŐZETES VERZIÓ). Riasztások az SAP-auditnapló-eseményekről minimális konfigurációval. A szabályt még alacsonyabb hamis-pozitív arányra konfigurálhatja. Megtudhatja, hogyan konfigurálhatja a szabályt.
- SAP – Dinamikus anomálián alapuló auditnapló-figyelési riasztások (ELŐZETES VERZIÓ). Riasztások az SAP auditnapló-eseményeiről, ha a rendszer rendellenességeket észlel, gépi tanulási képességekkel és kódolás nélkül. Megtudhatja, hogyan konfigurálhatja a szabályt.
A két SAP auditnapló-figyelő szabály készen áll a doboz elfogyására, és lehetővé teszi a további finomhangolást a SAP_Dynamic_Audit_Log_Monitor_Configuration és SAP_User_Config figyelőlisták használatával.
Rendellenességek észlelése
Amikor különböző tevékenységnaplókban, például az SAP-naplóban próbál biztonsági eseményeket azonosítani, ki kell egyensúlyoznia a konfigurációs erőfeszítést és a riasztások által előállított zaj mennyiségét.
A Sentinel for SAP megoldás SAP auditnapló moduljával a következőket választhatja:
- Mely eseményeket szeretné determinisztikusan, testre szabott, előre definiált küszöbértékek és szűrők használatával megvizsgálni.
- Mely eseményeket szeretné kihagyni, hogy a gép önállóan tanulhassa meg a paramétereket.
Miután megjelöl egy SAP-auditnapló-eseménytípust az anomáliadetektáláshoz, a riasztási motor ellenőrzi az SAP-naplóból nemrég streamelt eseményeket. A motor ellenőrzi, hogy az események normálisnak tűnnek-e, figyelembe véve a tanult előzményeket.
A Microsoft Sentinel egy eseményt vagy eseménycsoportot ellenőriz az anomáliák keresése érdekében. Az eseményt vagy eseménycsoportot a felhasználó és a rendszer szintjén hasonló, korábban látott tevékenységekkel próbálja egyeztetni. Az algoritmus az alhálózati maszk szintjén és a szezonalitásnak megfelelően tanulja meg a felhasználó hálózati jellemzőit.
Ezzel a képességgel olyan rendellenességeket kereshet a korábban csendesített eseménytípusokban, mint például a felhasználói bejelentkezési események. Ha például a Felhasználó, JohnDoe óránként több száz alkalommal jelentkezik be, most már hagyhatja, hogy a Microsoft Sentinel eldöntse, gyanús-e a viselkedés. Ez a John könyvelésből származik, ismétlődően frissít egy több adatforrással rendelkező pénzügyi irányítópultot, vagy DDoS-támadást hoz létre?
Az SAP – Dinamikus anomálián alapuló auditnapló-figyelési riasztások (ELŐZETES VERZIÓ) szabály beállítása anomáliadetektáláshoz
Ha az SAP auditnapló-adatai még nem streamelnek adatokat a Microsoft Sentinel-munkaterületre, megtudhatja, hogyan helyezheti üzembe a megoldást.
- A Microsoft Sentinel navigációs menüjében, a Tartalomkezelés területen válassza a Tartalomközpont (előzetes verzió) lehetőséget.
- Ellenőrizze, hogy az SAP-alkalmazás folyamatos fenyegetésfigyelése rendelkezik-e frissítésekkel.
- A navigációs menü Elemzés területén engedélyezze a következő 3 auditnapló-riasztást:
- SAP – Dinamikus determinisztikus auditnapló-figyelő. 10 percenként fut, és a Determinisztikusként megjelölt SAP auditnapló-eseményekre összpontosít.
- SAP – (előzetes verzió) Dinamikus anomálián alapuló auditnapló-figyelési riasztások. Óránként fut, és az AnomaliesOnly címkével ellátott SAP-eseményekre összpontosít.
- SAP – Hiányzó konfiguráció a dinamikus biztonsági auditnapló-figyelőben. Naponta fut, hogy konfigurációs javaslatokat nyújtson az SAP auditnapló-modulhoz.
A Microsoft Sentinel mostantól rendszeres időközönként ellenőrzi a teljes SAP-auditnaplót, és determinisztikus biztonsági eseményeket és rendellenességeket keres. A napló által generált incidenseket az Incidensek oldalon tekintheti meg.
Mint minden gépi tanulási megoldás esetében, idővel jobban fog teljesíteni. Az anomáliadetektálás a legjobban hétnapos vagy újabb SAP-naplóelőzmények használatával működik.
Eseménytípusok konfigurálása a SAP_Dynamic_Audit_Log_Monitor_Configuration figyelőlistával
Az SAP_Dynamic_Audit_Log_Monitor_Configuration figyelőlistával tovább konfigurálhatja a túl sok incidenst okozó eseménytípusokat. Íme néhány lehetőség az incidensek csökkentésére.
| Beállítás | Leírás |
|---|---|
| Súlyosság beállítása és nem kívánt események letiltása | Alapértelmezés szerint a determinisztikus szabályok és az anomáliákon alapuló szabályok is létrehoznak riasztásokat a közepes és nagy súlyosságú eseményekhez. Ezeket a súlyosságokat kifejezetten éles és nem éles környezetekhez állíthatja be. Beállíthat például egy hibakeresési tevékenységeseményt nagy súlyosságúként az éles rendszerekben, és letilthatja ezeket az eseményeket a nem éles rendszerekben. |
| Felhasználók kizárása SAP-szerepkörök vagy SAP-profilok alapján | Az SAP-hoz készült Microsoft Sentinel betölti az SAP-felhasználó engedélyezési profilját, beleértve a közvetlen és közvetett szerepkör-hozzárendeléseket, csoportokat és profilokat, hogy az SAP nyelvét a SIEM-ben beszélhesse. Konfigurálhat egy SAP-eseményt úgy, hogy kizárja a felhasználókat az SAP-szerepkörök és -profilok alapján. A figyelőlistában adja hozzá az RFC-felület felhasználóit csoportosító szerepköröket vagy profilokat a RolesTagsToExclude oszlopban az Általános táblahozzáférés RFC-vel esemény mellett. Mostantól csak azokra a felhasználókra fog riasztásokat kapni, amelyekből hiányoznak ezek a szerepkörök. |
| Felhasználók kizárása SOC-címkék alapján | A címkékkel létrehozhatja saját csoportosítását anélkül, hogy bonyolult SAP-definíciókra támaszkodna, vagy akár SAP-engedélyezés nélkül is. Ez a módszer olyan SOC-csapatok számára hasznos, amelyek saját csoportosítást szeretnének létrehozni az SAP-felhasználók számára. A felhasználók címkék szerinti kizárása elméletileg a névcímkékhez hasonlóan működik: több eseményt is beállíthat a konfigurációban több címkével. Nem kap riasztásokat egy adott eseményhez társított címkével rendelkező felhasználóhoz. Például nem szeretné, hogy bizonyos szolgáltatásfiókok riasztást kapnak az RFC-események által történő általános táblahozzáférésről , de nem talál olyan SAP-szerepkört vagy SAP-profilt, amely ezeket a felhasználókat csoportosítja. Ebben az esetben hozzáadhatja a GenTableRFCReadOK címkét a figyelőlista megfelelő eseménye mellé, majd a SAP_User_Config figyelőlistára léphet, és hozzárendelheti a felület felhasználóinak ugyanazt a címkét. |
| Gyakorisági küszöbérték megadása eseménytípusonként és rendszerszerepkörenként | Úgy működik, mint egy sebességkorlát. Dönthet például úgy, hogy a zajos felhasználói főrekord-módosítási események csak akkor aktiválnak riasztásokat, ha egy órán belül 12-nél több tevékenységet figyel meg ugyanaz a felhasználó az éles rendszerben. Ha egy felhasználó túllépi az óránkénti 12-et – például 2 eseményt egy 10 perces ablakban –, egy incidens aktiválódik. |
| Determinizmus vagy anomáliák | Ha ismeri az esemény jellemzőit, használhatja a determinisztikus képességeket. Ha nem tudja biztosan, hogyan kell megfelelően konfigurálni az eseményt, a gépi tanulási képességek dönthetnek. |
| SOAR-képességek | A Microsoft Sentinel segítségével további vezénylést végezhet, automatizálhat és reagálhat az SAP auditnapló dinamikus riasztásaira alkalmazható incidensekre. Tudnivalók a biztonsági vezénylésről, az automatizálásról és a válaszról (SOAR). |
Következő lépések
Ebben a cikkben megtanulta, hogyan monitorozhatja az SAP-naplót a Microsoft Sentinel beépített elemzési szabályaival.